當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 黑龍江OA系統(tǒng) > 哈爾濱OA系統(tǒng) > 哈爾濱OA軟件行業(yè)資訊
存儲安全并不僅僅是密鑰管理
存儲安全已經(jīng)成為讓IT經(jīng)理夜不能寐的最棘手問題之一,他們擔(dān)心數(shù)據(jù)是否會泄露到那些企圖盜取從信用卡、社會保障號碼到銀行賬戶、企業(yè)機(jī)密甚至是名人護(hù)照文件的不法分子手中。
最理想的情況是,信息從創(chuàng)建到被銷毀都是經(jīng)過加密的。而且大家還希望鎖定數(shù)據(jù),這樣只有那些授權(quán)用戶才能訪問到每份文件。如果所有系統(tǒng)都支持這種機(jī)制就再好不過了,這樣你就不會看到像間諜電影中那樣數(shù)據(jù)被盜取的場景。當(dāng)然,如果沒有非常深入的研究是不可能實(shí)現(xiàn)這些的。
但是隨著數(shù)據(jù)丟失事件像數(shù)據(jù)量本身那樣飛速增長,應(yīng)該是時候挑戰(zhàn)一下支持整體數(shù)據(jù)安全。當(dāng)然,研發(fā)和采用一個端對端解決方案是兩碼事,但是如果我們了解了這個問題的難度和復(fù)雜性,就等于有了一個解決問題的良好開端。
密鑰管理
密鑰管理一直是IT管理者最嚴(yán)峻的挑戰(zhàn)之一,其理由非常簡單:你很難對包括文件、存儲網(wǎng)絡(luò)、磁盤驅(qū)動器、磁帶以及其他所有設(shè)備實(shí)施統(tǒng)一而安全的密鑰管理。不同行業(yè)與政府對密鑰管理的要求都是不同的。不同企業(yè)機(jī)構(gòu)、甚至是機(jī)構(gòu)內(nèi)部的不同部門對安全性的等級要求都是不一樣的,而且需要的安全策略類型也是不同的。
有些企業(yè)機(jī)構(gòu)可能需要一種特定人群具有修改密鑰權(quán)限的模式,還有一些企業(yè)機(jī)構(gòu)可能需要讓一人或者多人擁有相同的數(shù)據(jù)安全密鑰控制權(quán)限。
你還需要解決安全性等級的問題?,F(xiàn)在,你有針對磁帶和磁盤驅(qū)動器不同的你要管理架構(gòu),更不用說數(shù)據(jù)路徑下的其他因素了?,F(xiàn)在有很多組織機(jī)構(gòu)都致力于密鑰管理的實(shí)施和統(tǒng)一。IEEE協(xié)會就是其中之一,去年在IEEE Mass Storage Conference上他們舉行了一次關(guān)于密鑰管理的峰會。未來密鑰管理仍將是一個我們需要面對的難題。
性能問題
加密的另一大挑戰(zhàn)就是性能問題。當(dāng)然,加密的成本是取決于在哪加密、使用什么方法加密數(shù)據(jù)。例如,使用LTO-4加密硬件或者希捷Cheetah驅(qū)動器的數(shù)據(jù)加密功能是不需要任何成本的,原因非常簡單:這些設(shè)備都采用了基于硬件的加密技術(shù)。
有些設(shè)備是在存儲網(wǎng)絡(luò)中進(jìn)行加密的。這些設(shè)備可能是完全基于設(shè)備的,但是這對磁帶來說并不是一件好事。如果你在壓縮之前加密,那么壓縮的幾率就會降低;你需要做的是,先壓縮后加密。這時候又有一個問題,inline設(shè)備能夠?qū)Υ艓?qū)動器進(jìn)行完全壓縮或者加密。隨著磁帶速度越來越快,這往往需要很高的成本。
那么服務(wù)器方面呢?我發(fā)現(xiàn)很多HSM應(yīng)用能夠在讀取或者向磁帶寫入數(shù)據(jù)的時候進(jìn)行校驗(yàn)和。我還發(fā)現(xiàn)當(dāng)啟動校驗(yàn)和的時候,磁帶性能就會大幅下滑。
我們都知道,校驗(yàn)和計(jì)算的復(fù)雜性遠(yuǎn)低于加密算法的復(fù)雜性。加密算法的計(jì)算非常密集,而且通用CPU可能并不適用于運(yùn)行這些復(fù)雜算法。這些類型的算法最適宜于在向ASIC或者更快的FPGAs這樣專門的硬件上運(yùn)行。CPU速度越來越快,但是內(nèi)存帶寬的增長速度并沒有與CPU性能增長保持一致,將數(shù)據(jù)移入或者移出內(nèi)存來在系統(tǒng)I/O處理密集的中加密或者解密數(shù)據(jù),這可能無法卯足加密需求以確保設(shè)備滿足I/O需求。
相關(guān)標(biāo)準(zhǔn)
即使有一個專門制定關(guān)于密鑰管理標(biāo)準(zhǔn)的組織,但這遠(yuǎn)遠(yuǎn)不能解決問題,因?yàn)檫@無法解決針對整個數(shù)據(jù)路徑的安全性和密鑰管理需求。
因?yàn)榧用芗軜?gòu)需要能夠在文件系統(tǒng)內(nèi)定義加密功能(我發(fā)現(xiàn)一些機(jī)構(gòu)希望在內(nèi)存中加密數(shù)據(jù),然后在處理之前解密數(shù)據(jù)),所以一個加密架構(gòu)應(yīng)該能夠針對文件系統(tǒng)內(nèi)的每一份文件支持不同等級的加密功能,確保能夠追蹤到來源并且在文件生命周期內(nèi)保留它的來源。
除了這種維護(hù)措施之外,還要解決長期擁有的問題。例如,如果一份文件是被一位用戶加密,但是需要被另外一位用戶使用,那么其他用戶是如何獲得認(rèn)證的?如果原始用戶并不是在理想狀態(tài)下創(chuàng)建的文件將會發(fā)生什么?文件如何被解密然后送交另一位用戶?誰擔(dān)負(fù)這個責(zé)任?需要怎樣的安全機(jī)制來確保文件所有權(quán)被遷移、而負(fù)責(zé)遷移的人不會獲得文件訪問權(quán)?在加密環(huán)境下,你擁有根密碼并不意味著你能夠看到所有數(shù)據(jù)。
這只是文件系統(tǒng)可能會發(fā)生的一些問題。我相信你肯定會設(shè)想一個由存儲網(wǎng)絡(luò)、存儲控制器和存儲設(shè)備構(gòu)成的完全安全的環(huán)境。管理架構(gòu)是一個難題。
標(biāo)準(zhǔn)組織聯(lián)合起來
因?yàn)樾阅軉栴}和管理復(fù)雜性,所有可以說加密是一個很難解決的問題。如果希望能夠有效而可管理地加密,需要解決的就不僅僅是密鑰管理問題——盡管這可能是重要的第一步,而且還需要從用戶一直到設(shè)備的標(biāo)準(zhǔn)架構(gòu)。不同的標(biāo)準(zhǔn)組織應(yīng)該聯(lián)合起來,也就是說,像The OpenGroup (POSIX)、IETF、ANSI T10、T11和T13這些組織都應(yīng)該致力于SAN設(shè)備的相關(guān)標(biāo)準(zhǔn),如果FCoE是未來的存儲發(fā)展趨勢,我們還需要把FCoE也納入其中。
現(xiàn)在加密只能解決單點(diǎn)問題:對磁帶進(jìn)行加密,這樣我們運(yùn)輸磁帶的時候就不用擔(dān)心數(shù)據(jù)安全問題;對磁盤驅(qū)動器進(jìn)行加密,這樣如果卸載磁盤驅(qū)動器就不能對其進(jìn)行讀取。這些解決方案解決了現(xiàn)實(shí)環(huán)境中諸多問題,不過還不足以解決TJX相關(guān)問題。
我認(rèn)為,在開始實(shí)施端對端加密之前,我們必須解決兩個短期內(nèi)的主要問題。首先,我們需要找出如何不利用CPU在主機(jī)加密的方法,因?yàn)殡m然現(xiàn)有的CPU技術(shù)仍然為物理應(yīng)用提高了足夠的計(jì)算能力,但是無法以線速率進(jìn)行加密和解密。
其次,我們需要端對端標(biāo)準(zhǔn)解決數(shù)據(jù)路徑和數(shù)據(jù)遷移環(huán)境中的加密和密鑰管理問題。也就是說,必須利用像NFS、ftp、插槽和其他一些遷移方法。這對標(biāo)準(zhǔn)組織和必須執(zhí)行這些標(biāo)準(zhǔn)的廠商來說都是一個重要要求。
我認(rèn)為現(xiàn)在我們離數(shù)據(jù)安全領(lǐng)域還有很長一段路要走。當(dāng)然,已經(jīng)有很多廠商推出了專門的解決方案,但如果我們沒有一個基于標(biāo)準(zhǔn)的架構(gòu),那么可能所有人都是朝著一個方向前進(jìn)的。(IT專家網(wǎng))
- 1重慶OA軟件
- 2OA軟件知識
- 3成都OA軟件
- 4福州OA軟件
- 5OA軟件研發(fā)
- 6OA軟件營銷
- 7OA軟件招投標(biāo)
- 8泛普OA軟件價格
- 9云OA軟件及OA租賃
- 10OA軟件人員招聘
- 11OA軟件破解
- 12好用的學(xué)校OA軟件
- 1玩轉(zhuǎn)Windows Vista 高手使用技巧揭秘
- 22009年的存儲技術(shù)趨勢預(yù)測
- 3如何選擇正確存儲方案來節(jié)約成本
- 4云計(jì)算快速應(yīng)用將加快推動SOA落地
- 5《財(cái)富》:2009年四大技術(shù)關(guān)注焦點(diǎn)
- 6六種設(shè)置方法助你徹底優(yōu)化IE瀏覽器
- 7影響ADSL線路質(zhì)量的幾大因素
- 8行業(yè)用戶講述刀片服務(wù)器實(shí)際應(yīng)用
- 9中小企業(yè)架構(gòu)存儲服務(wù)器指南
- 10信息安全:制訂防災(zāi)計(jì)劃的5個步驟
- 11OA軟件是面向用戶的界面設(shè)計(jì),突出以人為本
- 12五大虛擬化主流技術(shù)詳細(xì)講解
- 13關(guān)于移動存儲介質(zhì)的六大誤區(qū)
- 14現(xiàn)階段存儲之挑戰(zhàn) 新型存儲應(yīng)對危機(jī)
- 15中小企業(yè)租用服務(wù)器勿以低價論英雄
- 162009年CIO削減IT成本應(yīng)關(guān)注的五大IT趨勢
- 17談?wù)剠f(xié)議分析器在WLAN中的應(yīng)用
- 18服務(wù)器內(nèi)存和固態(tài)硬盤到底選擇誰
- 19對于2009年九大網(wǎng)絡(luò)安全趨勢的預(yù)測
- 20七個習(xí)慣助你實(shí)現(xiàn)高效能的DBA
- 21信息化:IT項(xiàng)目為何忌諱分析失敗
- 22內(nèi)網(wǎng)安全克服五重阻礙 迎來春天
- 23節(jié)約存儲開支 環(huán)保比虛擬化更重要
- 24云計(jì)算挑戰(zhàn)重重
- 25現(xiàn)階段的存儲之痛 新型存儲應(yīng)對危機(jī)
- 26虛擬化將改變數(shù)據(jù)中心建設(shè)和運(yùn)行的觀念
- 27合理規(guī)劃網(wǎng)絡(luò)是虛擬化價值第一步
- 28八種方法“綠化”企業(yè)現(xiàn)有數(shù)據(jù)中心
- 29如何降低文件存儲成本?
- 30虛擬化項(xiàng)目實(shí)施前需考慮這十個問題
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓